【01】卓伊凡收到冒充税务机关的诈骗程序-决定在沙盒Sandbox环境中运行测试下-广大企业同胞们注意防诈骗

【01】卓伊凡收到冒充税务机关的诈骗程序-决定在沙盒Sandbox环境中运行测试下-广大企业同胞们注意防诈骗

21日收到一封邮件冒充税务机关的邮箱，但是说来也奇怪，最近刚好和税局老师通过电话说过欠社保清缴的事情，然后就收到这邮箱了，说明这些人在通信上面是肯定搞了鬼的。

首先大家注意，他们还是用了企业邮箱发过来的，不容易辨别。

预览图片内容一看，哦哟，这就假到姥姥家了，但是很多传统企业老板如果不注意是发现不了的。

ok 看到了 里面是个exe，既然是exe文件肯定不能贸然运行，毕竟卓伊凡的本机电脑资料也很多的，因此我们准备建立沙盒环境

如何安全建立沙盒环境测试诈骗软件

如果你收到了一个疑似诈骗软件的程序，并希望分析它的行为，绝对不能直接在真实系统中运行！ 否则可能导致数据泄露、系统感染或财产损失。

今天，我将教你如何用沙盒（Sandbox）环境安全测试可疑程序，并推荐几种专业工具和方法。

---

1. 什么是沙盒（Sandbox）？

沙盒是一种隔离的虚拟环境，允许你在不危害真实系统的情况下运行未知程序。它的核心特点：

• 完全隔离：程序无法访问宿主机的文件、网络或硬件。
• 行为监控：记录程序的文件修改、注册表更改、网络请求等。
• 无害清理：关闭沙盒后，所有痕迹自动清除。

---

2. 测试前的准备工作

（1）确保物理隔离

• 使用专用设备（如闲置电脑），不要在公司或个人主力机上测试。
• 断开网络（或使用虚拟网卡），避免恶意软件外连服务器。

（2）备份重要数据

• 即使使用沙盒，也建议提前备份关键文件（如云端或移动硬盘）。

（3）记录初始状态

• 用工具（如 Process Monitor）记录系统当前的进程、文件、注册表状态，方便对比分析。

---

3. 4种沙盒环境搭建方法

✅ 方法1：Windows 自带沙盒（推荐新手）

适用场景：快速测试EXE文件，无需复杂配置。
步骤：

1. 确保系统是 Windows 10/11 Pro 或 Enterprise（家庭版不支持）。
2. 启用沙盒功能：

• • 搜索 “启用或关闭 Windows 功能”，勾选 “Windows Sandbox”，重启电脑。

1. 运行沙盒：

• • 在开始菜单打开 Windows Sandbox，将可疑程序拖入沙盒内运行。

1. 分析行为：

• • 观察程序是否请求权限、修改文件、弹出广告等。

1. 关闭即清理：

• • 关闭沙盒后，所有数据自动销毁。

优点：微软官方工具，简单易用。
缺点：功能较基础，无法深度分析网络行为。

---

✅ 方法2：虚拟机（VMware/VirtualBox）

适用场景：需要长期分析或复现复杂攻击链。
步骤：

1. 安装虚拟机软件（如 VMware Workstation 或 VirtualBox）。
2. 下载一个干净的系统镜像（如 Windows 10 ISO）。
3. 创建虚拟机，安装系统（建议禁用共享文件夹和剪贴板）。
4. 在虚拟机内运行可疑程序，并用工具监控：

• • Process Monitor（监控文件/注册表操作）
  • Wireshark（抓取网络流量）
  • ProcExplorer（查看进程树）

优点：完全隔离，可保存快照（Snapshot）反复测试。
缺点：占用资源较多，需手动清理。

---

✅ 方法3：专业沙盒工具（Cuckoo Sandbox）

适用场景：自动化深度分析恶意软件行为。
步骤：

1. 安装 Cuckoo Sandbox（需Python环境）。
2. 配置虚拟机作为分析环境（推荐使用VirtualBox）。
3. 提交可疑文件给Cuckoo，它会自动生成报告，包括：

• • 创建的进程
  • 修改的文件
  • 发起的网络请求
  • 截图（如勒索软件的弹窗）

优点：全自动化，适合高级用户。
缺点：配置复杂，需一定技术基础。

---

✅ 方法4：在线沙盒（Hybrid Analysis）

适用场景：不想本地安装任何工具。
推荐平台：

• Hybrid Analysis（免费）
• Any.Run（交互式分析）

步骤：

1. 上传可疑文件（支持EXE、PDF、Office文档等）。
2. 平台会自动在云端沙盒运行，并生成行为报告。

优点：无需本地资源，报告详细。
缺点：文件会上传到第三方服务器，隐私敏感数据需谨慎。

---

4. 测试时的关键观察点

运行可疑程序后，重点关注以下行为：

1. 文件操作：是否加密或删除文件（勒索软件特征）。
2. 网络连接：是否尝试联系可疑IP或域名（如 185.143.223.xx）。
3. 注册表修改：是否添加自启动项（如 HKLM\Software\Microsoft\Windows\CurrentVersion\Run）。
4. 进程注入：是否劫持合法进程（如 explorer.exe）。

---

5. 测试后的安全措施

1. 彻底清理环境：

• • 虚拟机：恢复到干净快照。
  • 物理机：格式化硬盘重装系统（极端情况下）。

1. 上报威胁：

• • 将样本提交至 VirusTotal 或国家网络安全机构。

1. 增强防护：

• • 安装杀毒软件（如火绒、卡巴斯基）。
  • 定期更新系统和软件补丁。

---

6. 重要法律与道德提醒

• 仅限研究目的：切勿用于非法测试他人系统。
• 遵守《网络安全法》：在中国，传播或制作恶意软件可能构成犯罪。
• 企业需授权：在公司网络测试前，务必获得IT部门批准。

---

总结：如何选择沙盒方案？

方案	适用场景	难度	隔离性
Windows Sandbox	快速简单测试	⭐	高
虚拟机（VMware）	长期深度分析	⭐⭐	极高
Cuckoo Sandbox	自动化专业分析	⭐⭐⭐	极高
在线沙盒（Hybrid Analysis）	免安装快速扫描	⭐	依赖平台

如果你是新手，建议从 Windows Sandbox 或 在线沙盒 开始！

下集我们安装cuckoo sandbox